はじめに
- 7.2/7.3系から8.0にいつものノリでupgradeした結果痛い目に会った話です
- 痛い目とは?
- 8.0upgrade後にSplunk Webサービスが起動しない事象が発生
- 「Web interface does not seem to be available」
- 原因は?
(以下、コメント原文)
- We removed 99% of the underlying AdvancedXML modules in Splunk 8.0. This means trying to make a custom module that inherits from one that no longer exists is going to fail. It sounds like search_activity still uses AdvancedXML, so in order for that app to work with 8.0 it would have to be ported.
- When you have a python import exception in the appserver/splunkweb layer, CherryPy, the appserver/splunkweb, will not start. So, because 1 is failing on import, it breaks splunkweb.
要するに
- AdvancedXML modulesの99%を8.0ではカットしたので、それを使っている場合、失敗する可能性がある。事前に移行する必要あり。
- appserver / splunkwebレイヤーにPythonインポート例外がある場合、appserver / splunkwebであるCherryPyは起動しません。
- おそらく私の環境のAppも依存関係に引っかかって上記事象にあたっていると思います。どのappが影響しているかが、以下のログから特定できればよかったのですが、私の場合App名が載っていなかったので原因の完全特定ができず。
- /opt/splunk/var/log/splunk/web_service.log
- 対応策としては、原因と思しきAppsのフォルダをCLIから削除するのがベターなアプローチのようです。
Splunk8からpyhton3系サポートを開始
- python2系の公式サポート終了(2020/01/01)に伴い、Splunk8.0からpython3に一部の機能は移行している(https://docs.splunk.com/Documentation/Splunk/8.0.0/Python3Migration/AboutMigration)
check項目
- 7.xから8.0にUpgradeする前に、どのAppを改修/更新しておかないと影響を及ぼしそうかcheckしてくれるappが公開されています
- Splunk Platform Upgrade Readiness App
まとめ
- 8.x系にupgradeする前にSplunk Platform Upgrade Readiness Appでチェックを行いましょう。